PowerEdge: Dell EMC iDRAC 다중 취약성(CVE-2018-15774 및 CVE-2018-15776)

CVE 식별자: CVE-2018-15774, CVE-2018-15776

심각도: 중간

영향을 받는 제품:

• 2.61.60.60 이전의 Dell EMC iDRAC7/iDRAC8 버전(CVE-2018-15774 및 CVE-2018-15776)
• 3.20.21.20, 3.21.24.22, 3.21.26.22 및 3.23.23.23 이전의 Dell EMC iDRAC9 버전(CVE-2018-15774)

요약: 
영향을 받는 시스템을 위험에 처하도록 악용할 가능성이 있는 여러 취약성을 해결하기 위해 Dell EMC iDRAC가 업데이트되었습니다.
 
상세 정보: 

• 권한 상승 취약성(CVE-2018-15774)

• 부적절한 오류 처리 취약성(CVE-2018-15776)

.

해결 방법:   
다음 Dell EMC iDRAC 펌웨어 릴리스에 이 취약성에 대한 해결 방법이 포함되어 있습니다.

Dell Technologies는 모든 고객이 가능한 한 빨리 업그레이드할 것을 권장합니다. 

iDRAC에 대한 Dell EMC 모범 사례:

Dell EMC는 iDRAC 펌웨어를 최신으로 유지하는 것 외에도 다음과 같은 권장 사항을 권장합니다.

• iDRAC는 별도의 관리 네트워크에 배치하거나 인터넷에 배치 또는 연결하도록 설계 또는 의도되지 않았습니다. iDRAC를 직접 인터넷에 직접 배치하거나 연결하면 Dell EMC가 책임을 지지 않는 보안 및 기타 위험에 시스템이 노출될 수 있습니다.  
• 별도의 관리 서브넷에 iDRAC를 배치하는 것과 함께, 사용자는 방화벽과 같은 기술을 사용하여 관리 서브넷/vLAN을 격리하고 서브넷/vLAN에 대한 액세스를 자격이 있는 서버 관리자로 제한해야 합니다.
• Dell Technologies는 고객이 전체 위험을 평가하기 위해 환경과 관련이 있을 수 있는 배포 요소를 고려할 것을 권장합니다.

문제 해결 링크:

고객은 PowerEdge 서버 용 iDRAC 펌웨어를 다운로드할 수 있으며, 다른 모든 플랫폼의 경우 Dell 지원 사이트에서 플랫폼을 선택할 수 있습니다.

감사:

CVE-2018-15776: Dell EMC에 이 문제를 보고해 주신 Jon Sands와 Adam Nielsen에게 감사드립니다.

Dell Technologies는 모든 사용자가 이 정보를 각자의 상황에 적용할 수 있는지 판단하고 적절한 조치를 취할 것을 권장합니다. 여기에 언급된 정보는 어떠한 보증도 없이 "있는 그대로" 제공됩니다. Dell EMC는 상품성, 특정 목적에의 적합성, 소유권 및 비침해에 대한 보증을 포함하여 명시적이든 묵시적이든 모든 보증을 부인합니다. 어떠한 경우에도 Dell EMC 또는 관련 제공업체는 직접적, 간접적, 부수적, 파생적 손해 또는 영업 이익 손실이나 특수 손해을 비롯하여 어떠한 손해에 대해서도 책임을 지지 않습니다. 이는 Dell EMC 또는 관련 제공업체가 이러한 손해의 가능성에 대해 알고 있었던 경우에도 마찬가지입니다. 일부 주에서는 결과적이거나 우발적인 피해에 대한 책임의 배제 또는 제한을 허용하지 않으므로 상기의 제한이 적용되지 않을 수도 있습니다.